survivor Опубликовано 25 июля, 2011 · Жалоба Доброго времени суток! Посоветуйте, пожалуйста, девайс под ТЗ: нужен прозрачный firewall, который бы не был next hop'ом в роутинге, позволял фильтровать трафик по самым разнообразным критериям (торренты, skype, web, всякие там deposit files и т.д., "одноклассники" и т.п.) и самое главное имел дружелюбный и простой для не специалиста веб.интерфейс. Траффика - несколько мегабит. Если есть что-то из личного опыта - буду премного благодарен :) Спасибо заранее! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexmern Опубликовано 25 июля, 2011 · Жалоба mikrotik -> bridge filters Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
survivor Опубликовано 25 июля, 2011 · Жалоба mikrotik -> bridge filters не подскажете что бы почитать на эту тему... Если б можно было взглянуть на скриншот с интерфейса (касательно сабжа), а то у микротика очень плохо дела обстоят с документацией. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
survivor Опубликовано 25 июля, 2011 · Жалоба может какой-нибудь аппаратный firewall посоветуете? Cisco ASA наверное хорошее решение, но cli... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
survivor Опубликовано 25 июля, 2011 · Жалоба Неужели никто не сталкивался ни с чем подобным?! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 25 июля, 2011 · Жалоба Firebox от WatchGuard. http://www.rnbo.ru/catalog/2/ Для тех у кого бабла навалом, а самому разобраться в линухе желания нет. ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
survivor Опубликовано 25 июля, 2011 · Жалоба Реальная штука, только по описанию непонятно - она прозрачная или все-таки будет next hop'ом... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergeiK Опубликовано 25 июля, 2011 (изменено) · Жалоба Нужно именно девайс, через который проходит трафик? Для подобных задач можно ставить железку в стороне. Из тех, что используем, webSense так может работать. Умеет все, что указано, в нашей схеме получая зеркалированный трафик. Из плюсов схемы - если упал - не фильтрует и все. Трафик идет все равно. Умеет работать как прокси, а вот как прозрачный фильтр - не знаю. Cisco ASA может работать как прозрачный Firewall, но будет ли адекватно фильтровать контент - не могу сказать. Для таких задач надо можно недавнее приобретение Cisco IronPort. Умеет ли он быть прозрачным - тоже не знаю. Изменено 25 июля, 2011 пользователем SergeiK Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
survivor Опубликовано 25 июля, 2011 · Жалоба Нужно именно девайс, через который проходит трафик? Именно так - есть сеть, в которой ничего нельзя менять, доступа к оборудованию и серверам нет, но нужно закрывать/открывать выход на те или иные ресурсы (соц.сети, качалки и т.д.) для локальных пользователей. Соответственно железка должна быть полностью прозрачна и с интуитивным web управлением, так как сисадмина они под это дело нанимать не будут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexmern Опубликовано 25 июля, 2011 · Жалоба у микротика очень плохо дела обстоят с документацией. Нормальная там документация - http://wiki.mikrotik.com RouterOS можно попробовать в виде демо на любом PC. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 25 июля, 2011 · Жалоба Реальная штука, только по описанию непонятно - она прозрачная или все-таки будет next hop'ом... Bridge/router настраивается исходя из задачи. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 25 июля, 2011 · Жалоба L2+ коммутатор с ACL. У PC based есть фишка: они могут пропускать сквозь себя весь не IP трафик без возможности фильтрования. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 25 июля, 2011 · Жалоба L2+ коммутатор с ACL. Сказки и голая теория. На практике же не хватит TCAM'а как только начнёте писать ACL, в которых будут все 100500 порносайтов и вконтактов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shefys Опубликовано 25 июля, 2011 · Жалоба может какой-нибудь аппаратный firewall посоветуете? Cisco ASA наверное хорошее решение, но cli... у ASA есть ASDM ( Adaptive Security Device Manager): http://www.cisco.com/en/US/products/ps6121/index.html Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Voicemaster Опубликовано 25 июля, 2011 · Жалоба Linux. eb_tables. Гуя нет. :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
joesm Опубликовано 26 июля, 2011 · Жалоба Cisco SCE все это делает и имеет GUI. Вот только на таком объеме трафика врядли пройдет по деньгами, но GUI... :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
survivor Опубликовано 26 июля, 2011 · Жалоба Я сам честно говоря склоняюсь к cisco ASA или mikrotik'у... но все же ни по документации и скиншотам точно не уверен подходят ли они под мою задачу: гибкая фильтрация на L3-L7 в режиме прозрачного firewall'а да еще и через GUI. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
survivor Опубликовано 26 июля, 2011 (изменено) · Жалоба Я так понимаю мне нужно как минимум cisco ASA 5510: http://www.cisco.com/en/US/products/ps6120/prod_models_comparison.html#~mid-range так как только там появляется "Anti-spam, anti-phishing, URL filtering", кстати а что такое: "Content Security (Anti-virus, Anti-Spyware, File Blocking)" --- Yes (with CSC SSM) Это как... антивирус прямо в циске всего проходящего траффика? На лету? А как он апдейтится? или я чего-то не так понимаю? Насчет ASDM... мне всегда страшно не нравился обычный SDM, какой-то он ограниченный по сравнению с cli. ASDM получше будет? Изменено 26 июля, 2011 пользователем survivor Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 26 июля, 2011 · Жалоба Если есть денег и надо сертификат поищите ССПТ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
survivor Опубликовано 26 июля, 2011 · Жалоба Если есть денег и надо сертификат поищите ССПТ. Сертификат вообще не нужен, но железка понравилась. Только вот мой опыт общения с крониксом и натексом говорит о том, что с большой долей вероятности это какой-то невыговариваемый китайский бренд, с налепленным поверх логотипом российской компании, а в нем - ужасно глючный, ограниченный по функционалу и неудобный софт, абсолютно не поддерживаемый и не развиваемый... Обжегшись на молоке ДВАЖДЫ - воду обходишь стороной... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 26 июля, 2011 · Жалоба Я сам честно говоря склоняюсь к cisco ASA или mikrotik'у... но все же ни по документации и скиншотам точно не уверен подходят ли они под мою задачу: гибкая фильтрация на L3-L7 в режиме прозрачного firewall'а да еще и через GUI. http://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Bridge_Firewall http://wiki.mikrotik.com/wiki/L7 Без скриншотов, но если разберётесь в CLI, то разберётесь и в WinBox'e. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
survivor Опубликовано 26 июля, 2011 (изменено) · Жалоба А что скажете про такую штуку: http://www.checkpoint.com/products/firewall-software-blade/index.html# и вот эта тоже очень даже ничего: http://www.fortinet.com/solutions/firewall.html Изменено 26 июля, 2011 пользователем survivor Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DenKZ Опубликовано 26 июля, 2011 · Жалоба Я так понимаю мне нужно как минимум cisco ASA 5510: http://www.cisco.com/en/US/products/ps6120/prod_models_comparison.html#~mid-range так как только там появляется "Anti-spam, anti-phishing, URL filtering", кстати а что такое: "Content Security (Anti-virus, Anti-Spyware, File Blocking)" --- Yes (with CSC SSM) Это как... антивирус прямо в циске всего проходящего траффика? На лету? А как он апдейтится? или я чего-то не так понимаю? Насчет ASDM... мне всегда страшно не нравился обычный SDM, какой-то он ограниченный по сравнению с cli. ASDM получше будет? Ну ASDM дает на выходе CLI - неудобочитаемый, а так в принципе работает... но я им не пользуюсь... CLI приятнее... в принципе можно создать базовый конфиг посредством ASDM, затем причесать ручками (понятные имена ACL, политик), а затем уже управлятся ASDM... Модуль SSM-AIM - это фактически отдельный писюк со своим ПО (линуксом), вставляемый в корпус ASA... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...